シングル サインオン(SSO)を利用すると、ユーザーは管理対象の Google アカウントの認証情報を使って企業向けのすべてのクラウド アプリケーションにログインできます。Google では、200 以上の人気のクラウド アプリケーションと事前統合された SSO が提供されています。
事前統合された SSO のリストに含まれていないカスタム アプリケーションの SAML ベースの SSO を設定するには、次の手順で操作します。
カスタム SAML アプリを設定する
-
-
管理コンソールで、メニュー アイコン
[アプリ]
[ウェブアプリとモバイルアプリ] にアクセスします。
- [アプリを追加]
[カスタム SAML アプリを追加] をクリックします。
- [アプリの詳細] ページで次の操作を行います。
- カスタムアプリの名前を入力する。
- (省略可)アプリのアイコンをアップロードする。アプリのアイコンは、ウェブアプリとモバイルアプリのリスト、アプリの設定ページ、アプリ ランチャーに表示されます。アイコンをアップロードしなかった場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。
- [続行] をクリックします。
- [Google ID プロバイダの詳細] ページで、サービス プロバイダで必要となる設定情報を次のいずれかの方法で取得します。
- IdP メタデータをダウンロードする。
- [SSO の URL] と [エンティティ ID] の値をコピーし、証明書(または必要であれば SHA-256 フィンガープリント)をダウンロードする。
- (省略可)別のブラウザタブかウィンドウで、サービス プロバイダにログインし、手順 4 でコピーした情報を適切な SSO の設定ページに入力してから、管理コンソールに戻ります。
- [続行] をクリックします。
- [サービス プロバイダの詳細] ウィンドウで、次のように入力します。
- ACS の URL: サービス プロバイダの Assertion Consumer Service URL は SAML レスポンスを受信する役割を担い、https:// で始まる必要があります。
- エンティティ ID: サービス プロバイダから提供される、グローバルに一意の名前。
- 開始 URL: (省略可)SAML リクエストで RelayState パラメータを設定するために使用されます。認証後のリダイレクト先 URL を指定できます。
- (省略可)サービス プロバイダで SAML 認証応答全体の署名が必要な場合は、[署名付き応答] チェックボックスをオンにします。このチェックボックスがオフの場合(デフォルト)、応答内のアサーションにのみ署名が付きます。
- デフォルトの [名前 ID] はメインのメールアドレスです。複数の値の入力はサポートされていません。
ヒント: SAML アプリの一覧にある設定に関する記事で、一覧内のアプリに必要な名前 ID マッピングを確認します。必要に応じて、管理コンソールまたは Google Admin SDK API でカスタム属性を作成し、作成した属性にマッピングすることもできます。SAML アプリを設定する前に、カスタム属性を作成する必要があります。
- [続行] をクリックします。
- (省略可)[属性のマッピング] ページで [マッピングを追加] をクリックして追加の属性をマッピングします。
注: 定義できる属性の最大総数は、アプリ全体で 1,500 個です。各アプリにはデフォルト属性が 1 つあるため、総数にはこのデフォルト属性とユーザーが追加したカスタム属性が含まれます。
- [Google Directory の属性] で [フィールドを選択] メニューをクリックし、フィールド名を選択します。
Google Directory の属性の中には、プルダウン リストに使用できないものもあります。マッピングする属性(マネージャーのメールアドレスなど)がない場合は、その属性をカスタム属性として追加すると、ここで選択できるようになります。
- [アプリの属性] で、カスタム SAML アプリの対応する属性を入力します。
- [Google Directory の属性] で [フィールドを選択] メニューをクリックし、フィールド名を選択します。
-
(省略可)SAML レスポンスでユーザーのグループ メンバー情報を送信する場合は、[グループ メンバー] 欄にこのアプリに関連するグループ名を入力します。
- [Google グループ] の [グループを検索] 欄をクリックします。
- グループ名の文字を 1 つ以上入力します。
- リストからグループ名を選択します。
- 必要に応じてグループを追加します(合計グループ数の上限は 75 です)。
- [アプリの属性] に、サービス プロバイダの対応するグループ属性名を入力します。
注: 入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。
- [完了] をクリックします。
[カスタム SAML アプリを追加] をクリックします。SAML アプリを有効にする
-
-
管理コンソールで、メニュー アイコン
- SAML アプリを選択します。
-
[ユーザー アクセス] をクリックします。
-
組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。
-
(省略可)特定の組織部門に対してサービスを有効または無効にするには:
- 左側で組織部門を選択します。
- サービスのステータスを変更するには、[オン] または [オフ] を選択します。
- 次のいずれかを選択します。
- [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
- [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
注: 詳しくは、組織構造についてのページをご覧ください。
-
組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、グループに対するサービスの有効化についてのページをご覧ください。
- ユーザーが SAML アプリへのログインに使用するメールアドレスが、Google ドメインへのログインに使用するメールアドレスと一致することを確認します。
カスタムアプリで SSO の動作を確認する
ID プロバイダ(IdP)によって開始された SSO とサービス プロバイダ(SP)によって開始された SSO(アプリでサポートしている場合)の両方をテストできます。
IdP によって開始
-
-
管理コンソールで、メニュー アイコン
- カスタムの SAML アプリを選択します。
- 左上の [SAML ログインをテスト] をクリックします。
アプリが別のタブで開きます。開かない場合は、表示された SAML アプリのエラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインを再度テストしてください。
SP を起点とする SSO
- 新しい SAML アプリの SSO の URL を開きます。Google ログインページに自動的にリダイレクトされます。
- ユーザー名とパスワードを入力します。
ログイン認証情報が認証されると、新しい SAML アプリに自動的にリダイレクトされます。
統合対応クラウド アプリケーションを設定する
Google では、200 以上のクラウド アプリケーションと事前統合された SSO が提供されています。事前統合されたアプリケーションを設定するには、次の手順で操作します。
-
-
管理コンソールで、メニュー アイコン
-
[アプリを追加]
- 検索欄に SAML アプリ名を入力します。
- 検索結果で SAML アプリにカーソルを合わせ、[選択] をクリックします。
- ウィザードの手順に沿ってアプリの SSO を設定します。